最近在忙伺服器上線的事,所以不可避免的要預防系統入侵的方案,所以在學習怎樣檢查判斷自己的系統是否被別人動過.

1.安裝個後門監測軟體,查查關鍵檔案是否被篡改過

我下了個chkrootkit

安裝過程

yum install gcc gcc-c++ make

yum install glibc-static

cd /usr/local/src/

wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz #也可以去官網手動下載上傳伺服器

tar zxvf chkrootkit.tar.gz #解壓

cd chkrootkit-0.52

make sense 

使用:

cd /usr/local/src/chkrootkit

執行 ./chkrootkit | grep INFECTED

如果出現INFECTED則說明有關鍵檔案不合適了,有很大機率是被入侵修改了

在替換了被篡改的檔案後,接下來還要進行一步步的檢查

1、檢查系統密碼檔案 
ls -l /etc/passwd檢視檔案修改的日期是否正常

2、.awk -F: '$3==0 {print $1}' /etc/passwd檢查是否存在其他特權賬戶,

   awk -F: 'length($2)==0 {print $1}' /etc/shadow檢查是否存在空口令賬戶.

3、ps -ef 檢查程序是否異常

4、檢查是否有異常的遠端服務開啟

5、輸入netstat -an，列出本機所有的連線和監聽的埠，檢視有沒有非法連線。 
輸入netstat -rn，檢視本機的路由、閘道器設定是否正確。 

輸入 ifconfig -a，檢視網絡卡設定是否異常。

6、.輸入last | more檢查所有使用者的歷史記錄

    輸入ps -ef|grep syslogd查詢syslog服務是否正常,並將PID替換成以下命令輸入

    ps -p PID -o lstart 檢查上一次

    輸入ls -al /var/log,檢查wtmp utmp，包括messgae等檔案的完整性和修改時間是否正常

7、輸入find / -name “.rhosts” –print

find / -name “.forward” –print 

檢查是否有以rhosts或者以forward結尾的後門檔案,判斷是否遭到入侵

8、使用ls命令檢查常用檔案及關鍵位置檔案的完整性

這一系列檢查下來就知道是不是被入侵了，到底哪裡被人改過了